blob: 2a151ea9374fca1680c349c15a8ba30c2c796197 (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
<define-tag description>flera problem</define-tag>
<define-tag moreinfo>
<p>Paul McMillan, Mozilla och Djangos kärngrupp upptäckte flera
sårbarheter i Django, ett webbramverk för Python:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-4136">CVE-2011-4136</a>
<p>Vid användning av minnes-baserade sessioner och cachning, lagras
Djangosessioner direkt i rootnamnrymden av cachen. När användardata
lagras i samma cache kan en fjärranvändare ta över en session.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-4137">CVE-2011-4137</a>, <a href="https://security-tracker.debian.org/tracker/CVE-2011-4138">CVE-2011-4138</a>
<p>Djangos fälttyp URLfield kontrollerar tillhandahållna URLer genom
att tilldela en förfrågan till dem, som inte löper ut. En
överbelastning är möjlig genom att tillhandahålla speciellt skapade
URLer som håller anslutningen öppen obestämd tid eller fyller
minnet i Djangoservern.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-4139">CVE-2011-4139</a>
<p>Django använde X-Forwarded-Host-huvuden för att skapa kompletta
URLer. Dessa huvuden får inte innehålla betrodd indata och kan användas
för att förgifta cachen.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-4140">CVE-2011-4140</a>
<p>CSRF-skyddsmekanismen i Django hanterar inte webbaserade
konfigurationer ordentligt som stödjer godtyckliga HTTP-värdhuvuden,
vilket tillåter fjärrangripare att trigga icke auktoriserade
förfalskade förfrågningar.</p></li>
</ul>
<p>För den gamla stabila utgåvan (Lenny) har detta problem rättats i
version 1.0.2-1+lenny3.</p>
<p>För den stabila utgåvan (Squeeze) har detta problem rättats i
version 1.2.3-3+squeeze2.</p>
<p>För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid), har
detta problem rättats i version 1.3.1-1.</p>
<p>Vi rekommenderar att ni uppgraderar era python-django-paket.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2332.data"
|